CleanIT: schoolvoorbeeld van een ontspoord veiligheidsproject

Het bestrijden van criminaliteit via internet is belangrijk. Het is dan ook onvergeeflijk als overheden geen idee hebben wat ze aan het doen zijn, onze internetvrijheid te grabbel gooien en bakken met belastinggeld pompen in amateuristisch broddelwerk zoals het CleanIT-project, stelt Ot van Daalen, directeur van Bits of Freedom.

Het onlangs gelanceerde Clean IT project is één van de ergste voorbeelden hiervan. We twijfelden zelfs of we er aandacht aan moesten besteden. Maar omdat het van serieuze overheidspartijen komt, leek het ons goed om toch eens in detail uit te leggen waarom dit project rechtstreeks de prullenbak in kan.

De drijvende kracht achter het Clean IT project is de Nederlandse Nationale Coördinator Terrorisme en Veiligheid (NCTV). Deelnemers zijn onder meer Spanje, het Verenigd Koninkrijk, Duitsland, België en Europol. Het doel van het project is “to counter the illegal use of the internet by terrorists”, zo staat op de website.

De leden zijn een aantal keren bij elkaar gekomen en gaan dat het komende jaar blijven doen. Uiteindelijk hopen ze regels te ontwikkelen om, ja wat precies? Het is onduidelijk, maar belooft weinig goeds. 

Het doel is niet duidelijk

Alle overheidsprojecten moeten een helder omschreven en zo beperkt mogelijk doel hebben. Op die manier zorg je dat belastinggeld zo effectief mogelijk wordt ingezet. Bovendien kan je niet alle problemen in één keer oplossen. Daarnaast beperk je zo het risico dat het project ook voor andere doeleinden wordt ingezet (zogenoemde “function creep“). En als privacy en communicatievrijheid in het geding zijn, is een heldere doelomschrijving zelfs verplicht op grond van Europese mensenrechtenverdragen.

Het doel van het Clean IT project is de eerste maanden al hopeloos uit de klauwen gegroeid:

  • Eerst was het projectdoel “combating the misuse of internet for Al Qaida influenced terrorist purposes” (project outline van 15 september 2011, PDF).
  • Nog niet een maand later werd dit al uitgebreid. De workshop van het project werd georganiseerd “to discuss illegal use of the internet”. Opeens blijkt het project zich te richten op het misbruik van het internet door “terrorists and extremists”. En dat zijn er nogal wat: “all kinds of terrorists organizations, including lone wolf terrorists and individual extremists. Including (alphabetical) animal rights, left-wing, racist, religious, right-wing, separatist and all other terrorist and extremist organizations and individuals.” Al Qaida wordt niet meer specifiek genoemd. Zie het verslag van de workshop van 24 en 25 oktober 2011 (PDF).
  • Bovendien blijkt het project zich opeens te richten op geweld en hate speech: “The project also aims to limit the use of the internet by organizations or individuals inciting murder and violence, and or publishing or disseminating racist and xenophobic material, and hate speech.”
  • En terloops wordt opgemerkt dat het internet “is misused in many forms, including cybercrime, hate speech, discrimination, illegal software, child pornography and terrorism”.

De uitbreiding van het project wordt bevestigd in een voortgangsrapportage van 16 november 2011 (PDF). Desondanks schrijft het NCTV in een persbericht op 18 november 2011 dat het project nog steeds beperkt zou zijn tot Al Qaida: “The project focuses on Al Qaïda influenced content.”

Niet alleen zijn in een paar maanden de groepen waar het project zich op richt uitgebreid: ook is het soort gebruik in de loop van het project uitgebreid. Hoewel het project zich in eerste instantie richtte op “the illegal use” van het internet door bepaalde groepen, is het doel een maand later uitgebreid tot “the illegal and unwanted use” van het internet (verslag van workshop van 24 en 25 oktober 2011, onderstreping toegevoegd).

Dat betekent dus dat het project erop is gericht om gedrag dat niet op basis van een wet verboden kan worden, toch te beperken. Ook hier stelt het persbericht van een maand later weer dat het project zich beperkt “to counter the illegal use of the internet by terrorists”. Dat steekt des te meer, nu het project parlementaire controle omzeilt. We komen hieronder op terug.

De vraag is niet helder

Niet alleen moet het doel helder omschreven zijn: ook de vraag moet  kraakhelder zijn. Want pas dan weet je naar welke oplossingen je moet zoeken. Het klinkt bijna te simpel. Maar niet voor het Clean IT project. In de project outline staat slechts een aanname: “The internet plays a central role and is of great strategic importance for Al Qaida influenced extremist networks.” Daar volgt geen vraag uit.

Terwijl de vraag van alles kan zijn: hoe kan worden voorkomen dat aanhangers van Al Qaida gebruik maken van het internet, of dat sympathisanten fondsen werven via het internet, of dat zij nieuwe recruten werven via het internet? Ga zo maar door.

Ook een maand later was nog steeds niet duidelijk wat de deelnemers precies aan het oplossen waren. En toch organiseren ze allemaal workshops. Als je geen duidelijke vraag hebt, zijn alle zogenaamde oplossingen nutteloos. Want je weet niet of ze werken.

De gevolgen voor communicatievrijheid en privacy worden niet besproken

Clean IT maakt inbreuk op de privacy en communicatievrijheid. Daarom schrijven de organisatoren dat respect voor fundamentele rechten onderdeel moet zijn van het project. Maar dat voornemen opschrijven is niet voldoende: er moet expliciet onderzoek worden gedaan naar de manieren waarop deze grondrechten worden ingeperkt en wat de onbedoelde en ongewenste neveneffecten van het project kunnen zijn.

Want zelfs als zo een systeem met de beste bedoelingen zou worden opgezet: het risico dat dit project in de toekomst wordt misbruikt voor censuur en surveillance is groot:

  • Dit project heeft een megalomane reikwijdte en zou zich richten op misbruik: “within in [sic] all layers and parts of the internet. This includes (in alphabetical order) audio messages posted on internet, blogs, chat rooms, documents posted, e-mail, messaging systems, payment systems, social media, static texts on websites, video messages, web forums” (verslag van workshop van 24 en 25 oktober 2011).
  • En vrijwel de hele internetgemeenschap zou moeten meewerken aan deze regels: “browser providers, certificate providers, cloud providers, domain registrars, e­‐mail service providers, exchange points, filter providers, hosting providers, hotlines, investigation companies, law firms, security consultants, search engine companies, social network sites, technology innovators, vendor sites and web forum providers”.
  • Daarbij komt dat de oplossingen die worden voorgesteld in het document het grondrecht op communicatievrijheid en privacy inperken, zoals het publiceren van zwarte lijsten van verboden websites of het afschaffen van anonimiteit.


Het project wordt niet gebaseerd op bewijs

Het lijkt voor de hand liggen: alle beleid moet worden gebaseerd op stevig bewijs. Het bestaan en de omvang van het probleem moet onderbouwd worden met deugdelijke, onafhankelijke data. En vervolgens moeten de effectiviteit en de gevolgen van alternatieve oplossingen op basis van onafhankelijk onderzoek in kaart worden gebracht. Als dat bewijs ontbreekt is een project niet meer dan een mening van een paar deelnemers. Helaas ontbreekt in Clean IT iedere poging om het project met bewijs te staven. Het probleem wordt niet onderbouwd – het blijft slechts bij aannames – en de oplossingen komen uit de lucht vallen.

Het project omzeilt parlementaire controle

Bij het Clean IT project is ervoor gekozen om parlementaire controle te omzeilen, zo blijkt uit de project outline:

“In addition to regulatory approaches, public-private partnerships can cause a breakthrough in deadlocked talks between government and industry. The internet is in most countries predominantly privately owned, and the internet knowledge is 100% privately owned. Therefore, the solutions to these problems can be found in direct cooperation between member-states and the Internet business.”

In plaats daarvan streven de deelnemers naar “gentlemens agreements” tussen de overheid en marktpartijen:

“The main objective of this project is of a non-legislative  ́framework ́ that consists of general principles and best practices. The principles will be used as a guideline or gentlemen’s agreement, adopted by many partners. They will describe responsibilities and concrete steps public and private partners can take to counter the illegal use of Internet. The principles should fill the gap between Member States (national) regulation and private initiatives / best practices.”

Iedere inperking op de communicatievrijheid en privacy die afkomstig is van de overheid moet gebaseerd zijn op een formele wet. Dat volgt uit de Europese mensenrechtenverdragen. En terecht: het parlement moet zich over die maatregelen kunnen uitspreken, regels moeten in volledige openheid tot stand komen en burgers moeten precies weten waar ze aan toe zijn.

Dat in dit geval ervoor is gekozen om het parlement te omzeilen, is onacceptabel, zeker omdat het project ook is gericht op het beperken van gedrag dat niet op basis van een wet verboden kan worden.

Conclusie: het Clean IT project kan de prullenbak in

De bestrijding van criminaliteit is te belangrijk om met dit soort halfbakken plannetjes aan te pakken. We hopen dat het parlement het Clean IT project in de kiem smoort en dat de overheid ons belastinggeld in de toekomst beter besteed.

  1. 1

    Prachtig artikel!

    En de problematiek van “function creep” is al zo oud als de IT zelve. Leren is moeilijk. Zowel voor overheid als ICT. En dat komt met name omdat de automatiseringsbedrijven die de opdrachten aannemen blij zijn met function creep : ze verdienen er mee en het project houdt voorlopig niet op. Een melkkoe dus.

    De IT industrie is mede schuldig aan dit soort situaties.
    De overheid is vanwege haar afslankoperaties (competentie moet ingehuurd worden).

  2. 2

    Idd het lijkt een lullig en donker project. Krijg je als je techneuten en technocraten hun gang laat gaan. Hoewel ik nog niet helemaal zie dat het parlement geen enkele rol heeft. Er is tenslotte altijd een minister verantwoordelijk?

  3. 3

    Bits of freedom is een organisatie die tegen alle wetshandhaving op internet is.

    Het hypocriete is ook nog dat ze zelf mensen in bescherming nemen die de rechten van anderen schenden (hackers)

  4. 4

    Het zijn de hackers die zelf de rechten van anderen schenden, die het hardst om rechten schreeuwen.

    De wet moet ook op internet gelden.

    En als we het dan toch over een inbreuk van de overheid op de privacy hebben dan is belasting een veel grotere inbreuk.

  5. 5

    “”Als je geen duidelijke vraag hebt, zijn alle zogenaamde oplossingen nutteloos. Want je weet niet of ze werken.””

    En jij gaat dus voor mensen die al qaida moeten bevechten bepalen welke vragen ze daarbij moeten stellen?
    Dit is geen filosofisch spelletje.

    Het doel is internet criminaliteit tegengaan, de auteur van het stuk wil dat hierbij gefocuste wetten worden gemaakt die makkelijk te omzeilen zijn.

  6. 6

    “”Als je geen duidelijke vraag hebt, zijn alle zogenaamde oplossingen nutteloos. Want je weet niet of ze werken.””

    En jij gaat dus voor mensen die al qaida moeten bevechten bepalen welke vragen ze daarbij moeten stellen?
    Dit is geen filosofisch spelletje.

    Het doel is internet criminaliteit tegengaan jij noemt deze bestrijding maar een mening omdat er geen vragen worden gesteld in de persberichten en omdat er geen onderzoek is naar de grote van internet criminalteit, nogal logisch aangezien daar amper grip op is.

  7. 7

    “Conclusie: het Clean IT project kan de prullenbak in
    De bestrijding van criminaliteit is te belangrijk om met dit soort halfbakken plannetjes aan te pakken. We hopen dat het parlement het Clean IT project in de kiem smoort en dat de overheid ons belastinggeld in de toekomst beter besteed.”

    Een beetje gratuite opmerking van een stuurman aan de wal. Het idee van het aanpakken van terrorisme en criminaliteit lijkt mij geen fout idee. Hoe het dan wel moet? Misschien moet BoF daar eens iets over roepen.

    En inderdaad: het parlement wordt niet omzeild, zoals @2 al aangeeft.

  8. 8

    Als techneuten en technocraten bij dit project aan het roer stonden dan denk ik niet dat het zo’n onzinnig en megalomaan gebeuren zou zijn. Ik denk dat er juist bedroevend weinig techneuten en technocraten bij betrokken zijn, maar vooral veel oudere ambtenaren die het ook allemaal niet zo goed begrijpen en een vaag naief idee hebben dat als ze het maar voldoende vaak (met belastinggeld ondersteund) roepen dat de “internet community” in zijn volle breedte wereldwijd ineens het licht zal zien en vol aanbidding op de knietjes de nog niet bestaande oplossingen zal implementeren.

    Nou…dat zal zo’n vaart niet lopen denk ik.

    Onzinnig gedoe wat terecht zo snel mogelijk parlementair de nek omgedraait dient te worden.

    Wanneer komt er eens een echte technocraten partij in het parlement?